パッチマネージャーは、オペレーティングシステムのパッチ適用プロセスを簡素化する、自動化されたツールです。デプロイするパッチの選択、パッチロールアウトのタイミング、インスタンス再起動の制御など、その他さまざまなタスクが自動化されます。特定のパッチに対するブラックリスト/ホワイトリスト適用、ターゲットインスタンスにパッチをデプロイする方法の制御 (パッチ適用前にサービスを停止するなど)、メンテナンスウィンドウ内の自動ロールアウトのスケジュール設定といった追加機能を利用して、パッチの自動承認ルールを定義できます。これらの機能を利用してパッチのメンテナンスを自動化すれば、時間を節約すると同時に、コンプライアンス不適合のリスクを軽減できます。
Amazon EC2 Systems Manager が一般公開されました
Amazon EC2 Systems Manager を無料で試すパッチベースラインでは、インスタンスへのデプロイを承認またはブロックしたパッチのセットを定義できます。また、製品別 (Windows Server 2008、Windows Server 2012 など)、カテゴリ別 (Critical Update、Security Update など)、デプロイのために確認するパッチの重大度別にパッチを選択できます。その後、選択されたカテゴリごとに、カテゴリに含まれるパッチの配布が自動的に承認されるスケジュールを定義できます (重大度の低いパッチは適用まで 7 日間待つが、セキュリティの脆弱性に対処するパッチはすべて 1 日目に適用するなど)。ルールに加えて、ホワイトリストやブラックリストを指定し、インストールまたはブロックするパッチをそれぞれ選択することもできます。パッチ適用のとき、その時点より前に承認されたパッチについてのみ、ターゲットとなるインスタンスの評価が実行されます。
パッチマネージャーを使用して、既存のインスタンス群をスキャンし、ソフトウェアの現在のパッチ適用レベルを判定できます。また、各インスタンスに現在インストールされているパッチレベル、不足しているパッチ、直近に適用されたパッチなど、その他の重要な情報を検証し、全体的なパッチのコンプライアンスを判定できます。
